緩和分析機能を有効化すると、緩和ログ ページに、ご利用の Anti-DDoS Origin インスタンスに対するトラフィックスクラブ、ブラックホールフィルタリング、およびトラフィック再ルーティングのイベントが記録されます。これらのログをクエリ実行およびフィルター処理することで、攻撃が発生した時刻、適用された緩和策の種類、およびその継続時間などを調査できます。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
緩和分析機能を有効化済みであること。詳細については、「緩和分析の有効化」をご参照ください。
クエリ緩和ログ
トラフィックセキュリティコンソール にログインします。
左側のナビゲーションウィンドウで、ネットワークセキュリティ > Anti-DDoS Origin > 緩和ログ の順に選択します。
上部のナビゲーションバーから、ご利用のインスタンスに対応するリソースグループおよびリージョンを選択します。
Anti-DDoS Origin 1.0 インスタンス、または Anti-DDoS (Enhanced) が有効化された Elastic IP Address (EIP) の場合:インスタンスまたは EIP が配置されているリージョンを選択します。
Anti-DDoS Origin 2.0 インスタンスの場合:すべてのリージョン を選択します。
緩和ログ ページで、Anti-DDoS Origin インスタンスを選択します。
検索ボックスにクエリ文を入力します。
クエリ文は
検索文|分析文の形式を使用します。構文の詳細については、「検索構文」および「SQL 構文および関数」をご参照ください。右上隅で、クエリの対象となる時間範囲を設定します。
説明結果には、指定した時間範囲の前後最大 1 分間のログが含まれる場合があります。
検索と分析 をクリックします。
クエリ結果の分析
結果ページには、調査の各フェーズに対応する 4 つの主要領域があります。
クエリ結果のヒストグラム — 時間軸におけるログ件数の分布を表示します。攻撃トラフィックのピークが発生した時刻を特定する際には、この領域から始めます。
生ログ タブ — クエリに一致する個別のログエントリを表示します。特定のイベントやフィールド値を確認する際に使用します。
グラフ タブ — 結果をチャート形式で可視化します。トレンド分析やダッシュボード作成に使用します。
LogReduce タブ — 類似のログをまとめてクラスター化します。これを使用して、大量のログボリュームからパターンを特定します。
デフォルトでは、クエリは最大100行を返します。より多くの行を取得するには、分析文に LIMIT 句を追加します。詳細については、「LIMIT 句」をご参照ください。
クエリ結果のヒストグラム
ヒストグラムは、時間間隔ごとのログ分布を表示します。
緑色の長方形にマウスカーソルを合わせると、該当する時間間隔およびその間隔内のログ件数が表示されます。
緑色の長方形をダブルクリックすると、より細かい時間の粒度にズームインし、該当する生ログを表示できます。
生ログ タブ
生ログ タブでは、クエリに一致するログエントリが表示されます。テーブル 表示と 生データ 表示を切り替えて、データの読み取り方を選択できます。
このタブで利用可能な操作は以下のとおりです。
クイック分析: 選択した期間内の特定のフィールドの分布を分析します。詳細については、「クイック分析」をご参照ください。
アイコンをクリックして、フィールド名とフィールドエイリアスを切り替えます。エイリアスはインデックス作成時に設定されます。たとえば、host_nameのエイリアスをhostに設定した場合、フィールドエイリアスの表示 を選択すると、クイック分析リストにhostが表示されます。説明フィールドにエイリアスが設定されていない場合は、フィールドエイリアスの表示 の設定に関係なく、フィールド名が表示されます。
コンテキストクエリ(生データ ビューのみ): ログエントリの隣にある
アイコンをクリックして、生ログファイルからの周辺のコンテキストを表示します。詳細については、「コンテキストクエリ」をご参照ください。重要コンテキストクエリは、Logtail によって収集されたログのみでサポートされます。
LiveTail (生データ ビューのみ): ログエントリの横にある
アイコンをクリックして、ログをリアルタイムでモニターし、重要なフィールドを抽出します。詳細については、「LiveTail」をご参照ください。重要LiveTail は、Logtail によって収集されたログのみでサポートされます。
タグ設定(生データ 表示):
アイコンをクリックし、タグ設定 を選択して、調査において関連性が低いフィールドを非表示にできます。
カラム設定(テーブル 表示):
アイコンをクリックし、カラム設定 を選択して、列として表示するフィールドを選択できます。カラム名はフィールド名に対応し、カラム値はフィールド値に対応します。
JSON 設定(テーブル 表示または 生データ 表示):
アイコンをクリックし、JSON 設定 を選択して、JSON フィールドの展開レベルを設定できます。イベント設定 (テーブルビューまたは生データビュー):
アイコンをクリックし、[イベント設定] を選択して生ログのイベントを設定します。詳細については、「イベントの設定」をご参照ください。ログのダウンロード:
[アイコン] をクリックしてログをダウンロードします。ダウンロード方法とログ範囲を指定します。詳細については、「ログのダウンロード」をご参照ください。
グラフ タブ
クエリを実行した後、グラフ タブを開いて結果を可視化します。
チャートの表示: Simple Log Service は、クエリ結果をチャートにレンダリングします。利用可能なタイプには、テーブル、折れ線グラフ、および横棒グラフがあり、プロ版および標準版の両バージョンで利用できます。詳細については、「チャートの概要 (プロ版)」および「チャートの概要」をご参照ください。
ダッシュボードに保存:[新しいダッシュボードに追加] をクリックして、現在のチャートをダッシュボードに保存し、継続的なモニタリングを行います。 詳細については、「可視化の概要」をご参照ください。
ドリルダウンイベントの設定:ドリルダウンインタラクションを設定して、データディメンションと分析の粒度を切り替えます。詳細については、「ドリルダウンイベント」をご参照ください。
LogReduce タブ
「[LogReduce]」タブで、「[LogReduce の有効化]」をクリックして、類似したログをクラスター化します。これは、大量のトラフィックスクラビングセッション数を調査して繰り返されるパターンを特定する際に役立ちます。詳細については、「LogReduce」をご参照ください。
アラートおよび保存済み検索の設定
検索と分析 ページから、クエリを今後の利用のために保存したり、自動アラート機能を設定したりできます。
アラート:
アイコンをクリックすると、現在のクエリ結果に基づいてアラートルールを作成できます。詳細については、「Log Service でアラートモニタリングルールを設定する」をご参照ください。クイック検索:
アイコンをクリックすると、現在のクエリ文をクイック検索として保存できます。 クイック検索を使用すると、毎回文を再入力することなく、頻繁に使用するクエリを再実行できます。 詳細については、「クイック検索」をご参照ください。